中国电信运营企业内控管理的持续改进

　　【摘要】《萨班斯-奥克斯利法案》（SOX）颁布后，在美上市的中国四大电信运营商自2003年下半年起就先后开展了“与财务报告相关的内部控制体系”建设工作。几年来，内控工作从无到有，取得了很大成效，但同时也存在一定的问题。本文从遵循SOX法案的角度出发，依据COSO框架，对目前我国电信运营商在内部控制管理上存在的问题进行总结分析，并最终对中国电信运营企业如何持续优化内控管理工作提出建议。
　　
　　一、引言
　　
　　2002年7月30日，美国总统布什签发了《萨班斯-奥克斯利法案》（SOX），之后，美国证交会颁布了有关SOX法案404条款的最终条例及对302条款的补充修订，美国上市公司会计监察委员会（PCAOB）发布第2号审计准则，对所有在美上市公司的内部控制系统提出了非常严格的要求。为了满足美国《萨班斯-奥克斯利法案》和PCAOB的监管要求，加强公司内部控制管理，防范企业经营风险，在美上市的中国四大电信运营商自2003年下半年起就先后开展了“与财务报告相关的内部控制体系”建设工作。几年来，内控工作从无到有，取得了很大成效，但同时也存在一定的问题，现评述如下。
　　
　　二、中国电信运营企业内控工作取得的成效
　　
　　几年来，为遵循SOX法案，中国几大电信运营企业按照COSO框架建立和实践了内部控制管理，取得了较为显著的成效。
　　（一）树立、普及和强化了内控观念
　　通过几年来的实践，内控工作已经成为电信运营企业各级领导加强企业内部管理、降低经营风险的有力手段，内控观念被普及、内控工作被重视的程度前所未有。据某电信运营企业访谈和问卷的结果显示，大多数人对公司内控意识的宣传、配套制度和办法的制定表示认可，62.69％的人认为，公司绩效考核办法中为内控工作而设置的扣分指标，能够引起对内控工作的重视、促进内控工作的开展。部分员工认为内控建设不仅提升了公司外部形象和信誉度，也使公司各级员工了解了国际化上市公司的管理现状和趋势。
　　（二）建立了内控制度的文档体系（内控手册和细则等）、组织体系（包括责任体系）和流程体系
　　通过对某中国电信运营企业访谈和问卷的结果显示，大多数人认为，关于公司现有内控制度（包括内控手册、实施细则，下同）除了需要根据业务发展补充个别流程外，在加强内部管理、防范企业风险、满足监管要求等方面基本上是完整的（占比84.19％）。部分补充意见中还认为，与财务报告有关的内控制度的建立，有助于解决部门之间分工和配合问题；很大程度上减少了工作中的随意性，增强了工作的计划性和规范化。
　　（三）通过内控制度的执行、内控缺陷的整改，在理顺、规范业务和管理流程、提高会计信息真实性、降低企业风险等方面成效明显
　　通过对某中国电信运营企业访谈和问卷的结果显示，在调查内控三年来发挥的作用时，认为内控能理顺、规范业务和管理流程的比例最高（81.84％）；其次是提高财务信息真实性，保障公司顺利通过内外部审计（占比78.86％），认为降低经营与管理中的风险的人也达到了73.49％。
　　（四）提升内部审计作用和地位，促进了内部审计工作从传统的账表导向审计为主，转向以制度基础审计为风险导向审计奠定了基础
　　访谈和问卷的结果显示，内部审计人员普遍认为事业发展的空间扩展了，责任也加大了。其他部门对内审工作也有了新的认识，内审的权威性得到加强。
　　
　　三、中国电信运营企业内控管理工作存在的问题和根源分析
　　
　　要遵循SOX法案，不断提升中国电信运营企业的内部控制水平，需要认真分析当前企业内控建设中的问题和产生根源，并寻求有效的解决途径与方法。
　　（一）公司内部控制目标
　　目前，中国几大电信运营商对内部控制的目标基本设定了财务目标和与财务报告相关的合规目标。财务目标是指与企业编制真实、可信的财务报告有关的目标；合规目标是指与企业遵循适用的法律法规相关的目标。除了上述目标外，COSO还建议内部控制应有利于提高企业经营效率。目前，几大电信运营商在内控目标上对经营效率目标比较含糊。这在一定程度上暗示了管理层当前内控目标的倾向性，即满足遵循SOX法案的最低要求，首先是满足财务报告目标、合规性目标，经营效率目标放在其次。
　　（二）内部控制环境问题
　　1.公司治理结构制约了有效的内部控制机制的形成
　　根据契约理论，所有的组织都是个人或团体之间契约的组合，组织内的控制是参与者利益之间持续的平衡或均衡。中国电信运营企业是原国有电信企业改组的上市公司，其大股东实质上是国资委，董事会成员绝大多数是管理层成员，管理层成员由中组部或国资委任命，同其他国有企业一样，这样的治理结构所有者定位不清，容易形成内部人控制，难以形成所有者和经营者之间的有效监督机制。
　　2.多层级、地域分散的组织架构增加了内部控制的难度
　　中国电信运营企业基本上建立了集团、省、地市、县四级管理架构，集团、省两级主要是管理职能，不从事具体业务资产的经营，因为企业经营地域分散，层级较多，目前省、地市具有较大的决策权，造成了中国电信运营企业管控分散，控制难度较大。
　　3.各级管理层和员工对内部控制工作的认识有待进一步提高
　　几年来，内控工作虽然受到了前所未有的重视，但是，还有部分领导认为开展内部控制要花费大量的人力和费用，在某种程度上降低运营效率，另一方面又担心“水至清则无鱼”效应，害怕规范的内控程序限制了各级管理层的自由空间，不利于对中下层管理者形成激励。有的员工认为内控工作是对经营活动的束缚而将内控工作与日常工作相对立，有的由于工作量大而产生抵触情绪等，这些情况一方面不利于推进企业管理水平的提升；另一方面也使内控工作的意义受到扭曲，削弱了内控工作效果。
　　4.缺乏有效的反舞弊机制
　　有效的反舞弊机制，是企业防范、发现和处理舞弊行为、优化内部环境的重要制度安排。目前，几大电信运营企业大部分是监察部、审计部、综合部负责反舞弊的相关工作，有关工作制度沿袭传统的多，根据内控要求重新梳理、强化的程度不够。
　　（三）缺乏企业整体的、系统的、全面的风险评估体系
　　中国电信运营企业在进行内控制度建设、执行和评估中，对具体业务层面的风险考虑较多，但缺乏对企业面临整体风险的系统考量和相应的从内控角度的整体对策研究，而这些风险对企业内部控制产生更为深刻的影响。这些风险是由中国电信运营企业当前所处的内外部环境所决定的：包括行业发展风险、电信企业转型风险、经营指标风险、资产经营风险等。
　　（四）控制措施的制定、执行和评估需要进一步把握风险、成本与效益的平衡
　　1.内控制度建设
　　中国电信运营企业在内控手册和实施细则的编写过程中存在以下问题：首先，经营效率目标不明确。例如，某中国电信运营企业在涉及内部控制业务流程的目标时没有明确经营效率目标。这在一定程度上暗示了管理层当前内控目标的倾向性，即满足遵循SOX法案的最低要求，首先是满足财务报告目标、合规性目标，对经营效率目标不明确。其次，内控制度的设计比较强调防范风险，一定程度影响效率。公司按照COSO框架设计内部控制时，想方设法做到设计全面、追求“尽善尽美”，增加了大量细致的控制措施和环节，不同程度地出现了流程偏长、效率降低、控制冗余、效果不明显等问题。
　　2.内控制度执行
　　重制度、轻执行，是我国企业实际运作中的通病。从内控工作的经验来看，通过一段时间的努力，公司通常能够在流程梳理、制度设计方面做到基本完善，内控工作比较突出的问题在于是否能够有效执行。通过几年的内控缺陷整改，中国电信运营企业大部分缺陷得到一定程度的纠正和改善，但是由于产生以上问题的根源难以短时间根本解决，内部控制执行有待进一步提高。
　　
　　3.内部控制评估
　　关于内控评估工作的有效性，中国电信运营企业目前存在的问题包括：由于内控工作开展初期没有系统支撑，样本采集量大，不同的评估对同样样本的利用率低，造成样本重复复印，浪费人力、物资；表格重复填写、某些数据存在非标准格式，整理工作量大；评估标准不易理解及方法的不确定性，增加评估工作量和难度，评估有流于形式之嫌；关键控制点不够精练，评估工作量大；评估人员的表格填制质量参差不齐，增大了评估汇总的工作量；汇总部门对发现问题的核实与判断比较困难等。
　　（五）信息与沟通问题
　　1.现有的IT系统难以满足内控管理的需要
　　电信运营企业是一个对信息系统依赖程度较高的行业，在内控工作中，中国电信运营企业面临的问题有：业务缺乏整体规划，业务规划不完善，存在条块分割，应用分散、缺少整合，功能交叠或欠缺；信息不共享、数据质量差，影响对领导的决策支持能力；IT建设分散，缺乏统一、规范的IT管控流程，管控机制不健全等。
　　2.沟通问题
　　有效的沟通应该存在于公司内部的上行、下达、同级传递和与外部的沟通上。中国电信运营企业规模大，所属公司分布地域跨度大，各地地理文化、风土人情差异明显，再加上信息系统不完备，各级机构同级之间特别是上下级之间的沟通成本高，沟通信息逐级衰减。沟通难度最大的首先是公司总部同省公司之间的沟通；其次是省公司同地市公司之间的沟通，越往上层沟通难度越大；在同级，由于还是一种部门职能式管理的架构，沟通协调也有一定的难度。由于本地网公司才是真正的运作主体，集团、省是管理机构，实体运作的信息是逐级汇总而来的，汇总的过程是指标化、量化、标准化的信息传递，鲜活的、多维的、复杂的背景和实际运作情况大部分被过滤掉了。
　　（六）监督问题
　　从中国电信运营企业内部控制监督的总体情况来看，存在比较大的两方面的问题：
　　首先，中国电信运营商为遵循SOX法案，客观上为审计部门提供了更为广阔的运作空间。审计部门的地位有所提升，职能从过去的主要以财务收支审计和工程审计，转向更多的进行内控审计，但是审计部门的内部监察作用应进一步提高。其次，部分电信运营商对内控缺陷和漏洞所引发的影响财务报告质量问题，在业绩考核办法的惩处机制中，远远没有执行到位，内控问题没有同领导班子岗位考核晋升直接挂钩，威慑力不强。
　　
　　四、中国电信运营企业内控管理的持续改进
　　
　　（一）明确中国电信运营企业内控管理需要把握好的几个主要原则
　　1.内部控制是动态的过程，是个不断完善、不断优化、不断与企业内外部环境和发展要求相适应的过程，企业内部控制难以一蹴而就，操之过急，可能事与愿违，陷于被动，要实事求是，稳步推进。
　　2.内部控制不是万能的，受制于成本效益原则，要追求简单、有效和可控。管理是平衡的艺术，要善于在内部控制实施成本和可接受的风险程度之间进行平衡。
　　3.内部控制是企业整体管理的有机结合。内部控制不是为了控制而控制，要有效地延伸到企业的各个管理领域，它不是一项孤立的工作，要贯穿到公司层面以及各个具体运作流程，内部控制应当与企业现有管理制度如预算管理、质量管理、成本管理、绩效考核等有效融合。
　　（二）明确中国电信运营企业内控战略
　　企业发展需要战略的指引，内控建设同样需要首先明确目标和战略，才能够有的放矢、精确制导。中国电信运营企业应进一步明确内控建设的总体战略目标。在此基础上，进一步明确内控建设阶段性目标。这是一个逐步建立、分步实施、不断完善的过程，设立切实可行的分阶段目标有利于内控工作条理清晰、目标明确，取得更好的效果。
　　1.近期目标：在现有实践的基础上，持续满足SOX法案监管要求
　　（1）完善财务报告真实性和合规性；
　　（2）提高内控工作效率。
　　2.中期目标：通过推行集中管理、标准化管理、改善IT系统，全面提升财务报告内控水平。
　　3.远期目标：完善公司治理，建立基于全面风险管理的内控体系。
　　（三）中国电信运营企业内控管理的持续改进措施
　　1.近期目标
　　中国电信运营企业近期应在过去实践经验的基础上，进一步完善财务报告的真实性和合规性，兼顾经营效率目标，提高内控工作效率。
　　（1）持续改善内控环境
　　1）领导和员工意识
　　企业应该在吸收内外部经验的基础上，持续改善控制环境等公司层面的内部控制，加大宣传贯彻力度，营造良好的内控氛围。引导各级管理层牢固树立诚信经营理念，以科学的发展观高度重视内部控制。在实际工作中切实分析和把握企业的风险，处理好内控与企业发展、效率和风险等各方面的关系，在管理工作中更要以身作则地遵守内控相关规定。强化全员内控意识，持续加强对普通员工以及新招募员工的职业道德、内控意识、法纪观念、诚信经营的教育和培训，规范员工内控行为。
　　2）建立科学高效的内部控制权责体系
　　科学高效的内部控制权责体系对企业进一步提升内控水平至关重要。注意公司层面的职责分离，在股份公司和省公司，分管财务和审计，投资和采购等工作的领导要相对分离。在有条件的省公司和大型本地网，逐步配备有财务专业背景的总会计师，分管财务等相关工作。
　　制定合理的公司战略目标和年度发展目标。积极而合理的年度目标能够促使企业有效承接战略，实现可持续发展。建立年度和任期、短期和长期配套的考核机制。为避免下属企业过于追求短期效应，只顾眼前，不顾长远，对领导人员的考核机制上要注意年度和任期、短期和长期指标的有效配套和衔接，避免下属企业利用调整会计账期、实现大小年等方式手段粉饰财务报表，遏制造假的动机和冲动，提升内部控制水平。
　　3）建立反舞弊机制，强化内部审计独立性
　　有效的反舞弊机制，是企业防范、发现和处理舞弊行为、优化内部环境的重要制度安排。中国电信运营企业应当建立健全明确的反舞弊机制，明确审计、监察等有关部门在反舞弊工作中的职责权限和协调机制，规范反舞弊调查处理程序，建立情况通报制度，及时防范因舞弊而导致内部控制措施失效、影响内部控制目标实现的风险。
　　（2）提高内控制度建设和执行的有效性
　　1）根据风险程度，合理授权，简化流程，突出关键控制点
　　①在把控风险的前提下，合理授权：大型企业高效运作，要靠组织的群体作用而不是个人或是单个部门的作用。组织发挥有效作用，一定要有权责明确合理的授权管理制度，这样能避免少数领导和部门限于事务性的审批中，而没有时间和精力考虑战略性、全局性和方向性的问题；要处理好集中管理和合理授权的关系，二者是不矛盾的；要合理把控风险，就要坚持不同程度、不同等级风险分级负责制，重大事项、例外事项领导集体决策制，常规事项常规流程管控制。在明确授权的同时落实职责，谁办事，谁花钱，谁负责，增加项目绩效目标和考核力度。
　　②简化流程，突出关键控制点：要根据风险的重要性，深入分析企业大量存在的审批、授权、签字确认等控制形式的效果。从把控风险的角度出发，根据对财务报表真实性人为干扰程度和资产保全的重要影响程度，梳理关键流程和控制点并实行分级管理，简化控制点数量，归并重复的控制点，取消成本高而风险不大的控制点；实行动态管理，对于不适应实际情况的应及时更新，对于已不存在的控制点及时取消；对于新型业务与传统业务应采取不同的风险态度和控制措施；对新增业务及新增管理事项，应及时明确相关内控点、内控责任人等相关内控制度，做到制度先行，控制到位；为适应企业经营环境的快速变化，增加部分应急简化流程；按重要性原则，按不同管控要求区别设置流程：如申领一支笔的流程与申领一台设备的流程要有区别。对于关键控制点可以通过IT系统进行固化和强化，对于次要的控制活动，要研究效率和风险的平衡，适当简化流程和控制环节，以突出重点，提高工作效率。
　　
　　2）对手册、细则的内容、形式进行优化和简化
　　①部分电信运营商现有的手册和细则对业务流程环节的描述过于详细，不利于把注意力集中到风险和控制方面。可以考虑在手册和细则中引入流程图的方法，以“示意图”的方式来表达必要的流程性的要求。这一改进，可以促使业务流程中的控制既不脱离流程，也不过度陷于流程细节，便于确认关键控制点。
　　②部分电信运营商现有的手册和细则中，未能明确地定义风险、控制、控制程序和控制政策等业务流程层面的元素，造成将流程中所有的活动都当作“风险”或“控制”来抓。首先，要真正梳理出具体的风险，对风险点的确定务必深入、明确，避免使用“影响收入真实性”、“影响利润”等泛泛而论的表述，凡业务流程的风险点都要针对业务流程，独特而又明确，如电信卡业务流程中，“电信卡在省市公司之间调拨的核对”、“电信卡折扣率的计算”等。其次，要强调流程点与控制点的差别，真正将控制点与风险点关联起来，凡是业务流程中定义的控制，都是针对具体风险点。再次，控制点必须具有COSO规定的内涵，如授权、审批、审阅、执行（操作、核对、异常情况报告、职责分离、关键业绩指标分析、实物安全控制、记录）等类别，不能对应到具体类别的所谓控制，不作为控制点。最后，控制点中应遵守的财务、业务政策（即控制政策），不直接写到手册和细则中，避免挂一漏万，并且无法及时更新的问题；要改变现有在业务流程中写控制政策的做法，可以考虑用“重要政策例举”的方式，将需要执行的重要政策写出来，便于内控执行和评估。
　　3）提高内控评估的有效性
　　关于评估工作本身的效率问题和改进建议，也是内控效率问题的一部分，包括自我评估内容、自我评估的程序和方法、自我评估的工作组织等方面。
　　①关注流程，分清主次，减少重复：内控设计时可以细化以便于操作，但评估时不能就控制点评估控制点，不应仅关注“点”上的问题，而是应该更加关注“面”上的潜在风险，要看整个流程控制点的有效性；对风险较大、对企业影响较大的控制点应严格要求、勤检查；对于均可达到的控制点不要反复检查和确认执行情况，浪费人力；定期对内控风险控制情况进行通报和检查；检查频次要科学并减少上报环节。评估时应直接抽取相关业务操作进行评估，避免重复劳动，避免日常工作过分被干扰。
　　②建立IT内控评估支撑系统，提高工作效率和质量：利用IT系统，特别是利用企业现有的办公系统，开发符合企业自身特点的内控支撑管理系统，是一种投入小、收益好的方法，能够减少制度建设和内控评估的工作量，同时也为建立内控工作的长效机制奠定了良好的基础。要注意，一是开发运用内控评估支撑系统，依托系统实现控制点执行和评估责任的动态分解，并且力争形成“一人一表”；二是要集中力量，实现关键控制点的筛选和评估方法的固化，并将结果上载到内控评估支撑系统中，努力实现各项工作的整合。
　　③评估日常化：内控评估应该日常化、常态化。要建立内控缺陷数据库，并适时更新。对于缺陷数据来源应注意广泛性和及时性，应包括内外审计、专业部门检查等各方发现的内控问题。另外，对于内控评估等工作可以适当结合其他工作同时并行，不必每次都要求全员参与，避免增加工作量，引起部分员工的反感。
　　4）提高内控外部审计有效性
　　由于外审是独立审计，应该通过合适的沟通方式，双向互动，向外部审计公司提出提高内控外部审计有效性的建议：
　　①外审将内控审计与财务报告审计有效结合，这样在开展两个外审团队可以共享审计证据资料，减少重复。可以建议外审在年中开展内控预审计，与半年财务报表审计有效结合，不要将两项工作分开实施。应将IT审计和非IT审计一并开展，不再彼此独立。
　　②外审更好地利用其职业判断能力，将审计力量聚集于公司高风险点，减少对低风险领域的审计工作，利用其执业经验缩短内控审计时间，减少工作量。外审充分利用他人工作结果，尤其是公司自我评估和内部审计机构开展的独立评估、其他审计项目的工作结果，减少亲自获取审计证据的工作量。
　　③在减少流程层面内控审计工作量的情况下，适当对公司层面的内控进行评估。
　　2.中期财务报告内控“提升”目标：通过推行集中管理、标准化管理、改善集中模式的IT手段，全面提升财务报告内控水平
　　（1）组织架构扁平化，进一步强调省公司在内控工作中的作用
　　电信运营商大部分脱胎于原来政企合一的行业部门机构，从横向看，分支机构的分布同行政区划基本一致；从纵向看，集团、省两级带有披着公司总部外衣的“衙门”色彩，主要发挥管理职能。同国外可比企业对照，集团和省两级组成了庞大的管理机构，管理层级多，控制力逐层衰减。为提高管控能力，有效降低风险和管理成本，实施机构扁平化，把省公司“做实”，是根本改善当前控制力的良策。一方面，增加省公司更多的经营、服务、生产组织职能，而不仅仅是上传下达的管理机构，从整个集团角度缩小管理人员数量，提高管理效率，降低管理成本；另一方面，简化地市、县两级现有机构的管理职能，可以使其更多的关注经营运作，成为真正意义上的“营销中心”和区域“维护中心”，从而从整个集团范围内优化资源配置，提高内控执行的有效性。
　　（2）推行集中管理、标准化管理，加强内控工作的规范性、标准性
　　重新设计、优化业务组织运作和管理流程，推行集中管理、标准化管理，把量多复杂、功能要求高的运作支撑流程放在集团、省集中管理，把简单的、因地制宜的功能实行标准化管理，放在本地网、县公司，更好地划分各级的职能定位，可以从根本上解决控制力不强、管理繁复水平低、重复投资、对基层人员要求太高的矛盾，有利于风险的管控、管理的简单透明、投资成本的战略节省。
　　（3）加强集中化的信息系统建设
　　集中化的IT支撑，是上述管理思想得以实现的手段和关键。从管理和控制的视角，配置集中管理模式的IT资源，加强信息系统建设对内控工作有重要的影响：第一，IT系统能够固化重要的流程，减少执行的随意性；第二，IT系统能够替代繁琐的手工操作，提高工作效率；第三，能够通过IT系统，建立预警机制，避免对风险的错误判断。
　　值得注意的是，广泛采用信息系统增加了公司的IT风险和系统风险，对IT本身的内控显得尤为重要。加强信息系统建设提高了对公司IT整体规划、基础管理水平、IT支撑队伍能力和素质的要求。
　　3．远期风险管理目标：完善公司治理，建立基于全面风险管理的内控体系
　　（1）完善公司治理
　　长远来看，要根本上改善公司的控制环境，必须从完善公司治理入手。完善的法人治理结构不仅是内部控制的要求，也是有效实施内部控制的重要保障。在集团层面，引入战略投资者，实现股权多元化，建立完善股东大会和董事会制度，真正实现所有权和经营权的有效分离；切实发挥审计委员会的作用，加强内审机构独立性，内审机构直接向审计委员会报告等等。
　　（2）建立全面风险管理的内控体系
　　按照美国PCAOB第二号审计准则的规定，中国电信运营企业目前所进行的内控工作主要关注的是与财务报告相关的风险，工作方法及思路与国资委要求的全面风险管理、香港联交所C.2监管要求并不完全相同。未来应积极利用内控工作成果，在现有内控工作的基础上进一步探索全面风险管理。
　　全面风险管理，是指企业围绕风险管理的总体目标，在经营管理的各个环节和业务过程中执行风险管理的基本流程，制定风险管理体系的过程和方法。
　　全面风险管理突破了传统的保险手段和内部控制手段，实现了结合战略、组织、信息、金融、内控手段的多样化，更将关注的焦点转移到所有利益相关者的共同利益最大化上来。在实际工作中，应把风险管理的各项要求融入各项管理和业务流程中，应当深入贯彻执行公司现有的内部控制制度，充分发挥《内部控制手册》和内审部门在全面风险管理中的作用。同时，全面风险管理工作应该结合其它管理工作持续不间断地进行监控、改进并调整。
　　
　　五、结束语
　　
　　SOX对包括中国电信运营企业在内的我国在美上市公司提出了前所未有的挑战，但同时也为我国企业提升内部基础管理水平和防范风险提供了机遇。笔者对中国电信运营企业在遵循SOX法案方面所做的工作进行了阶段性的总结，包括已取得的成果和目前存在的问题，在分析产生问题根源的基础上，提出了中国电信运营企业进一步提升内控管理水平的建议措施，希望能为其他企业提供参考。●